內部威脅管理是現代數碼組織迅速增加關注的焦點,傳統的內部威脅都被認為是帶有惡意的員工,以盜取資源、製造破壞為目的,甚至是間諜,但是在現時新的工作環境常態中,以上概念限制了內部威脅這種獨特而複雜的涵蓋範圍,而以下四點絕對值得重新思考。
1. 瞭解新的人和資料邊界
數碼資料轉形改變了保安邊界數年,近期急劇的遙距工作新常態更在幾個月間急速加快轉變,遙距工作的內部威脅管理成為了網絡保安專家的首要關注項目。
傳統上,內部的概代是某人物理上接近資料,如果他們擁有進入的權限,他們就能構成威脅,然而即使在 90 年代,這種定義無法說明經由網絡的存取。專家們認為現時內部的保安邊界變得模糊,儲存的位置並不統一,認為現在只要有內部資料被洩露,就會產生問題。
現代人的「邊界」令資料的邊界也變得模糊,現代企業也需要因應情況,重新思考保護敏感資料的傳統部署。考慮到現時授權用戶的存取、操作和分享資料成為了他們日常的活動,傳統鎖上數據的方法顯得幼稚,用戶基本上是從多種渠道,在 SaaS 應用程式、電郵、雲端檔案分享和他們 endpoint 存取和轉移資料,現在根據需要,用戶在傳統保安範圍以外完成他們的工作。
2. 分解價值鏈與內部威脅
雖然迅速轉變到遙距工作普遍得到好評,但另一種商業趨勢多年來重塑了現代人的邊界,專家們看到在專業化的自然力量和數碼轉形支援下,差不多所有行業的價值鏈 (value chains) 都發生了分解,令數據和資源變得容易分享。
在物理的供應鏈中很容易理解這個勢趨,供應商與他們的貿易夥伴分享數據和基礎設施的存取權限,但是在考慮知識型服務的傳遞就更加複雜,敏感資料例如法律顧問或人力資料外半十分普遍,這些第三方需要資料的存取權限去虛據上進行合作,當考慮特定行業時就更加複雜和有趣。藥物公司使用外部專家作為 FDA 驗證,軟件公司外判保安漏洞的滲透測試工作,半導體公司引入自動化處理專家去改良製造流程,這些例子都帶出了兩個訊息,第一個是需要重新思考誰擁有存取敏感資料的權限,第二個是如何配合這些存取權限管理內部風險。
3. 被騙的員工也是內部威脅
在最近 Twitter 的事件中,一名 17 歲黑客令一名 Twitter 員工相信他是 IT 部門的同事,令讓員工把能夠存取客戶服務門戶網站的帳號交給他,事件顯露了外部人士有可能詐騙或其他方式,攻擊擁有授權的內部人士,直接提供資料或他們存取敏感基礎設施或數據的權限。
較早前有報導過以肺炎為題材的網絡釣魚活動,針對個人財務資料之外,還收集他們存取公司資料的權限資料,即使只有一人向釣魚電郵提供有價值的資料,都有可能威脅到整家公司。
保安團隊解譯對內部威脅的看法,有助把相關措施推得更廣去應對這個複雜的問題,保護電郵溝通的誠信、主動監察網絡釣魚活動、向用戶推廣推廣安全意識和主動監察數據洩露等等,都有助進行內部威脅管理。
4. 行為分析和內部威脅管理
能透視用戶的活動和行為分析是早期偵測內部威脅的基本,無論是受到要脅、惡意或疏忽,不過現代保安專家也需要把用戶私隱放在首位,在部署措施保護人的邊界時,也要考慮用戶的私隱。
用戶管理的設定要協用用戶明明他們正受到保護而非偷竊,因為當用戶開始懷擬有關工具並非僅用於防護時,他們便會嘗試規避措施,尤其在 work from home 期間就更加容易。
主動偵測異常或違規行為的能力對維持安全十分重要,即使嚴格規管使用雲端檔案分享、個人電郵和使用 usb 的基本數據管理,數碼世代的員工持續在規範和生產力中取得平衡,所以現代的機構需要保持透視活動和數據流動,以便作出正確決策和事故的回應。
資料來源:ObserveIT blog
